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€^ SYSTEME ET PROCEDES D'ACCES SECURISE A UN SERVEUR INFORMATIQUE UTILISANT LEDIT 
SYSTEME. 



^ Le systfemecomporte: 

- un site client (1 ) comprenant une unit§ centrale de con- 
tr6le et de traltement de donn6es (2), et un t6l6phone mobi- 
le (5), 

- un site serveur (7) comprenant une unit6 centrale de 
commande et de traltement de donn6es (8) pr6vue notam- 
ment pour gerer un protocole d'authentification du client uti- 
lisateur du site client. ^ . . 

Le site serveur (7) est connect^ au reseau de t616phonie 
mobile (6) et comprend en outre: une base de donn^es 
tfauthentlflcatlon (BDA), des moyens de synthase vocale; 
et des moyens d'authentiflcation d'un mot de passe 
tfauthentification (MPAU) regu par le site serveur via le re- 
seau de transmission de donn6es (4). 

Les proc6d6s mettant en oeuvre ce syst^me compren- 
nent une 6tape dans laquelle le serveur appelle le nurh6ro 
du t6l6phone mobile pourdemander une donn6e qui est soit 
transmise par Tutilisateur via les touches de son t6l6phone 
mobile, sort via ie rgseau de transmission de donn6es (4). 
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"Syst^me et proc^d^s d'accds s6curis6 ^ un serveur informatique 

utiiisant ledit syst^me'^ 
La pr6sente invention concerne un systdme permettant 
d'augnnenter le niveau de s^curisation du protocole d'authentification 
5 du dennandeur d'accds k un serveur informatique et deux precedes , 
mettant en oeuvre ledit syst^nne. 

Le demandeur d'acc&s ou client utilise en pratique un ordinateur 
individuel muni de moyens de connexion h un r6seau de 
communication, par exemple le r^seau Internet. 
10 Le " serveur " est constitu^ d'un ordinateur muni de moyens de 

connexion au mdme r6seau. 11 sert ^ mettre en relation le client avec • 
divers services tels que des bases de donn6es. 

La procedure d'accds au serveur pour un client se deroule 
classtquement en trois phases : 
15 - Tacc^s au site serveur via I'^tablissement d'une connexion (par 

exemple TCP/IP), via un r^seau g^n^rajiste ou priv6 de 
transmission de donn^es (par exemple Internet) ; 

- I'entr^e d'une identification ; et 

- Tentr^e d'un mot de passe client. : , 
20 L'acc&s est refus6 si le couple [identification / mot de passe 

client] n'est pas conforme aux informations stock6es dans una base de 
donn^es dite d' "authentification ^' gSr^e par le serveur lui-rn£me ou par 
un serveur interm^diaire adapts. 

Les procedures connues prdsentent un certain nombre de i 
25 faiblesses vis-d-vis de malveillances, telles que le vol des couples [code 

d'identification A mot de passe] via un logiciei de recherche ^ , 

automatique de mot de passe ou une complicity du c6t6 " serveur " 
permettant de connaTtre le contenu de la base de donnSes 
d'authentification. 

30 Diverses solutions sont connues pour renforcer la s^curisation de 

Taccds : 
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- c6t6 serveur un disposittf auxitiaire permettant la g4n6ration de 
mots de passe al^atoires et/ou crypt^s, mais n^cessitant la 
possession par le client d'un appareil synchronise avec ie 
serveur, g^n^rant un mot de passe pseudo-aldatoire et de courte 

5 dur6e de vie en fonction de la date et de Theure ; 

- la dotation des ordinateurs individuels d'un p^riph^rique lecteur 
d'une carte 6lectronique {" carte d puce s^curisant Tacc^s 
selon un protocole simiiaire d celui utilise pour les cartes 
bancaires ; le client doit done disposer d'une telle carte et d'un 

10 p^riph^rique special sur le terminal d partir duquel il se connecte 

au r^seau ; 

■ ridentification de la machine du client par un code 
d'identification tel que celui int6gr6 par ie constructeur sur ses 
microprocesseurs ; I'acc6s est s6curis6 par identification du 
15 ou des composants connus du serveur ; I'lnconv^nient est 

qu'en dehors des machines dument r6penbu6es, le client ne 
peut effectuer aucun acc^s. 
Par ailieurs, les systdmes de cryptage connus, tels que 
Tafgorithme RSA, nScessitent des puissances de calcul importantes 
20 pour obtenir un bon niveau de s^curit^. 

La pr^sente invention a pour objet de proposer une autre 
solution qui soit tr^s fiable et peu couteuse. 

Elle propose un syst^me d'acc&s s^curis^ h un serveur 
informatique, comportant: 
25 - un site client comprenant des moyens d'acc^s h un rSseau de 
transmission de donn^es et une unite centrale de contrdle et de 
traitement de donn6es ; et 

- un site serveur comprenant des moyens d'accds audit r6seau de 
transmission de donn^es et une unite centrale de commande et de 
30 traitement de donn^es pr^vue notamment pour g6rer un protocole 
d'authentification du client utitisateur du site client, 
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cardct4ris6 en ce que : 

- le site client comprend en outre un telephone mobile ; et 

- le site serveur comprend en outre : 

- des moyens de connexion au r6seau de t6l6phonle mobile dudit 
5 telephone mobile ; 

- une base de donn^es d'authentification comprenant une donnSe 
d'identification du client et un num^ro de tSl^phone mobile associ^ ; 

- des moyens d'appel du num6ro du t^l^phone mobile du client ; 

- des moyens de synthase vocale ; et 

10 - des moyens d'authentification d'un mot de passe d'authentification 
regu par le site serveur via le r^seau de transmission de donn6es. 

L'idee a la base de la pr6sente invention est done de faire 
intervenir dans le protocole d'authentification un telephone mobile, ie 
site serveur 6tant muni de moyens lui permettant d'appeler ie 

1 5 telephone mobile et de lui transmettre un message vocal. 

Le systdme selon rinvention n'exige du cdt6 du site client aucun 
dispositif informatique special d'identification, int6gr6 ou p6riph6rique. 
II requlert la possession d'un tSl^phone mobile ordinaire, appareil qui 
tend d se g^n^raliser parmi les professionhels et les particulrers, Le 

20 coOt d'6qulpement cote serveur reste 6galement modeste puisque 
notamment un modem standard du type comportant une unit6 de 
synthase vocale peut etre utilise pour r^aliser la connexion avec le 
r^seau de t^l^phonie mobile. 

Un autre avantage selon Tinvention reside dans le fait que ni le 

25 poste serveur, ni le poste client ne n^cessitent de puissances de calcul 
importantes compar^es aux systdmes de cryptage de I'^tat de la 
technique, d'ou une forte reduction des coOts pour un systdme selon 
rinvention. 

La s^curisation apport^e par le systfeme selon Tmv ntion est 
30 renforc6e par la procedure d'identification du t6l6phone mobile lui- 
mSme par son r^seau d'abonnement, Cette proc6dure met en oeuvre 
dans le cas de la norma GSM un composant ^lectronique sp^cifique 
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(carte SIM) branch^ sur Tappareil, et la possibility pour le client d'avoir 
un mot de passe modifiable (code PIN) qui doit etr saisi tors de la mise 
en marche du tSISphone. 

En cas de vol du telephone mobile ou du composant SIM, celui- 
5 ci peut instantan^ment etre mis hors service pour Tensemble des 
reseaux GSM sur un simple appel au fournisseur d'abonnement du 
telephone mobile. On pourra pr6voir 6galement que suivant une 
declaration de vol, Kacc^s au r^seau sera automatiquement ferm6. 

Le systdme seloh I'invention permet de r^utiliser les procedures 
10 existantes en ajoutant un niveau de securit6. II peut s'appliquer en 
complement de n'importe quel logici^l d'acc^s. 

Ainsi, la donn^e d'identification demand6e au client peut etre le 
couple [code ^'identification / mot de passe client] (ID/MPC) du 
protocole d'authentification connu de \'6tat de la technique, de sorte la 
15 connalssance directe ou indirecte de ce couple ne sera plus suffisante 
en soi pour obtenir I'acces au seryeur. 

Selon une premiere variante du systfeme, le site serveur 
comprend en outre des moyens de generation d'un mot de 
passe aieatoire ou pseudo-aieatoire, les moyens de synthase vocaie 
20 etant adaptes d emettre un message vocal de^stine au client via le 
reseau de teiephonie mobile comprenant ledit mot de passe aieatoire 
ou pseudo-aleatoire, le mot de passe d'authentification etant derive 
dudit mot de passe aieatoire ou pseudo-al6atoire- 

Ce mot de passe d'authentification peut correspondre au mot de 
25 passe aieatoire ou pseudo aieatoire transmis par le site serveur via le 
telephone ou bien etre constitue dudit mot de passe aieatoire auquel 
est applique une cie connue du client et comprise dans la base de 
donnees d'authentification du serveur. La cie peut Stre une constante 
connue et personnelle par exemple ajoutee ou retranchee pour obtenir 
30 le mot de passe serveur. II peut s'agir aussi d'une operation de logique, 
comme une permutation. 
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Selon une seconde variante du systeme, le site client comporte 
en outre des moyens de cryptage du mot de passe client selon une cle 
de cryptage, le mot de passe client crypte obtenu correspond au mot 
de passe d'authentification et il est transmis au site serveur via ie 
5 r^seau de transmission de donn^es ; et 

- les moyens d'authentification du site serveur comportent en outre : 

- des moyens de reconnaissance d'un signal envoys par le client 
par les touches du t^ISphone mobile et correspondant i ladite cl^ 
de cryptage ; et 

10 - des moyens de d6cryptage du mot de passe client crypt6 k I'aide de 
la cl^ de cryptage regue via le r^seau.de t^l6phonie mobile. 

Dans cette seconde variante du syst^me, les touches du 
telephbhe mobile sont utilisSes pour transmettre au site serveur la cle 
de cryptage. Les informations ndcessaires au protocole 

1 5 d'authentification sont transmises au site serveur via deux rdseaux 
differents : le mot de passe client crypt6 par le r^seau de transmission 
de donn^es, par exemple Internet, et la cl^ de cryptage connue du 
client via le r^seau de tSl^phonie mobile. 

La prSsente invention propose ^galement un proc6d^ de 

20 s^curisation d'acc6s k un serveur informatique mettant en oeuvre le 
syst^me selon Tinvention, et plus particulierement la premiere variante 
de systdme, ce proc^d^ comprenant les 6tapes c6x6 site 
serveur consistant h : 

" demander au client utilisant le site client une donn^e d 'identification 
25 par Tinterm^diaire du r^seau de transmission de donn^es ; 

rechercher ladite donn(§e dans une base de' donn^es 
d'authentification; 

' rechercher dans la base de donn^e d'authentification le num^ro de 
telephone mobile associ6 du client ; 
30 - appeler ledit num6ro de t6l6phone mobil ; 

- en cas d'obtention de la communication avec le telephone mobile 
g6n6rer un mot de passe al^atoire ou pseudo-aleatoire ; 
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- ^mettre un message vocal comprenant ledit mot de passe al^atoire 
via le r^seau de t^l^phonie mobile ; 

- demander au client de foumir un mot de passe d'authentification 
deriv6 dudit mot de passe al6atolre ou pseudo-aleatoire par 

5 rinterm6diaire du r6seau de transmission de donn6es ; et 

- authentifier ledit mot de passe d'authentification. 

La pr^sente invention propose ^galement un procSd^ de 
sScurisation d'acc^s h un serveur informatique mettant en oeuvre le 
syst^me selon invention, et plus particulidrement la seconde variante 
10 de systeme, comprenant les Stapes cdt^ site serveur consistent d : 

- demander au client une donn^e d'identification par Tinterm^diaire du 
r^seau de transmission de donn^es ; 

- rechercher dans la base de donn6e d'authentification le num6ro de 
telephone mobile assoct^ du client ; 

15 - appeler ledit num^ro de t6l6phone mobile ; 

- en cas d'obtention de la comrnunication avec le tSl^phone mobile, 
6mettre un message vocal demandant la cle de cryptage ; 

- authentification du rriot de passe d'authentification comprenant : 

- |a reconnaissance de la cl6 de cryptage transmise par le client 
20 via les touches du t^l^phone mobile ; 

- authentification du mot de passe d'authentification comprenant : 

- la reconnaissance de la cl6 de cryptage transmise par le client 
via les touches du t6l6phone mobile ; 

le d^cryptage du mot de passe d'authentification, 
25 correspondent au mot de passe client crypto, k Taide de ladite c\6 de 
cryptage ; et 

- Tauthentification du mot de passe client ; 

ledit proc^dd comportant cdtd site client les Stapes consistent d 
crypter le mot de passe client saisi par le client avant de Tenvoyer via 
30 le r^seau de transmission de donn^es. 
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La connaissance seule ou le vol du contenu de ia base de 
donn6es d'authentification ne suffit pas pour permettre un acc^s 
malveillant. 

On pourra ^galement renforcer la s^curisation des proc6d6s 
5 selon rinvention, en pr^voyant la d^sactivation automatique de Taccds 
au serveur d^s qu'un nombre predetermine de tentatives a echou^ h 
Tune quelconque des Stapes de saisie, et la possibilitS de demander la 
desactivation immediate du telephone aupr^s du fournisseur de 
teiephonie mobile. 

10 La pr^sente invention sera mieux comprise et d'autres avantages 

apparattront h ia lumidre de la description qui va suivre de deux 
exemples de realisation du syst^me et des precedes associes selon 
rinvention, description faite en reference aux dessins annexes sur 
lesquels : 

15 - la figure 1 est un schema synoptique du premier exemple de 

realisation du systeme selon I'invention ; 

- la figure 2 est un organigramme du precede d'authentification 
execute par le serveur mettant en oeuvre le systeme de la figure 1 ; 

- la figure 3 montre schematiquement une page ecran generee 
20 par le serveur et utilisee par le client pour la transaction 

d'authentification du procede de ia figure 2 ; 

- la figure 4 est un schema synoptique du second exemple de 
realisation du systeme selon I'invention ; 

- ia figure 5 est un organigramme du procede d'authentification 
25 execute par le serveur mettant en oeuvre le systeme de la figure 4 ; et 

- la figure 6 montre schematiquerhent une page ecran geheree 
par le serveur et utilisee par le client pour ia transaction 
d'authentification du precede de la figure 5 ; 

Comme iilustre schematiquement d la figure 1 , un premier 
30 xemple de realisation du systeme selon Tinvention comprend : 

- sur un site client 1, un ordinal ur individual 2 equipe d'un 
modem 3 pour acced r un reseau de transmission de donne s 4 et 
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un tdldphone mobile 5 personnel, abonn^ h un rSseau de t6l6phonie 
mobile 6, par exemple au standard GSM ; at 

- sur un site serveur 7, un serveur constitu6 d'un ordinateur 8 
sur lequel est charge un iogiciel adapts ^ g^rer le proc^dS d'acc^s du 
5 client aux services 9 du serveur selon Tinvention, notamment le 
protocole d'authentification du client ; I'ordinateur est ^quip^ d'un 
modem 10 lui permettant d'^tablir une liaison avec le r^seau de 
tdl^phonie mobile 6 et d'appeler un num^ro de t^lSphone, de moyens 
11 de g^n^ration d'un mot de passe alSatoire ou pseudo-al6atoire 

10 MPA, et d'un circuit de synthase vocale 12 lui permettant de 
communiquer au t6l6phone mobile 5 un message comprenant le mot de 
passe MPA g^n^r^ al^atoirement n^cessaire au protocole 
d'authentification. L'ordinateur 8 est reli6 & une base de donn6es 
d'authentification EfDA comprenant pour chaque client r^pisrtari^ un 

15 triplet [code d'identification ID / mot de passe client MPC/num6ro de 
t^l^phone mobile personnel associe]. 

Le procSd^ d'acc&s s6curis6 se d^roule de la mahi^re suiyante. 
Le client sur le site client 1 demande Tacc^s au serveur. La 
liaison entre le site client 1 et le site serveur 7 via le r6seau de 

20 transmission de donrides 4 se fait de manidre classique et connue en 
soi par rinterm^dlaire du modem 3 du site client 1, du rSseau 
t^iSphonique commute, d'un fournisseur d'acc^s au rSseau g^n^raliste 
Internet et d' Internet. 

En retour, le serveur affiche sur Tordinateur individual 2 une 

25 page 6cran 15, representee sur la figure 3, comprenant trois champs 
de saisie : les deux premiers champs 1 6 et 17 correspondent au couple 
classique [code d'identification ID et mot de passe client MPC], le 
troisi^me champs 1 8 correspond d un mot de passe d'authentification 
MiPAUT qui est derive du mot de passe al§atoire ou pseudo-al^atoire 

30 MPA qui sera communique par le s rveur au site client 1 via le 
telephone mobile 5. Ce mot de passe d'authentification MPAUT 
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correspond ici au mot de passe al6atoire ou pseudo-al^atoire MPA 
g^n^r^ par le serveur. 

Dans un premier temps, le client saisit son couple (code 
d'identification-mot de passe client] (ID/MPC) qui est d^ji s^curis^ par 
5 n'importe quel processus connu k partir de la base de donn^es 
d'authentification BDA. 

En se rSf^rant ^ I'organigramme de la figure 2, les Stapes 
suivantes du protocole, spScifiques h la prSsente invention, ne seront 
ex^cutSes par le serveur qu'd la condition prSalable que I'Stape de 
10 contrdle identification / mot de passe client k TStape 20 soit couronnSe 
de succ^s. 

Si tel est le cas, V6tape suivante 21 consiste ^ composer le 
numSro du tSISphone mobile identifiS grdce d la base de donn^es 
d'authentification BDA d Taide du modem TO. A r§tape suivante 22, si 

15 la communication tSISphonique avec le tSISphone mobile est obtenue 
(par exemple par rindication du dScrochage " par le modem 1 0 du 
site serveur), le serveur gSn^re un mot de passe alSatoire MPA et 4met 
grSce h son circuit de synthase vocale ce mot de passe MPA g^n6v6 
vers le telephone mobile 5. L'Stape suivante 23 correspond a una 

20 etape d'attente de la saisie du mot de passe d'authentification MPAUT 
par le client au niveau du site client pendant une durSe limitSe 
prSdSterminSe (Stape 24). Si k I'Stape 25, le mot de passe MPAUT 
saisi est conforme, I'authentification est confirmee et le client peut 
acc6der aux services 9 du serveur. 

25 L'Schec de Tauthentification intervient done dans les 

circonstances suivantes : 

- Schec de Tauthentification classique du couple [ID /MPC] ; 

- non-obtention de la communication avec le tSISphone mobile ; 

- mauvaise ou absence d'entrSe du second mot de passe 
30 MPAUT dans le dSlai prSdSt rminS. 

Des variantes de realisation sont possibles, notamment 
concernant le mot de passe serveur dSrivS du mot de passe alSatoire 
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MPA qui peut etre constitu6 dudit mot de passe aleatoire MPA auquel 
est ajoutee une c\6 arithmetique ou logique personnelle au client et 
comprise dans la base de donn^es d'authentification BDA dans un 
champs suppl^mentaire d ceux d^jd prdvus pour ie code d'identification 
5 ID, Ie mot de passe client MPC et Ie num^ro de t^iSphone mobile. Le 
serveur sera 6qu\p6 de moyens lui permettant de recalculer le mot de 
passe g6n6r6 MPA pour proc6der h I'6tape d'authentification. 

Les figures 4^6 concernent un autre mode de realisation du 
systdme selon Tinvention se diff^renciant par le fait que le site client 1 

10 est 6qu\p6 en outre de moyens de cryptage 30 qui sont adaptes d 
crypter le mot de passe client MPC une fois celui-ci saisi par le client 
ayant de Tenvoyer via le r§seau 4 de transmission de donn^es au site 
serveur 7. Du cdt6 du site seryeur, celut se diff^rencie par des moyens 
de reconnaissance 31 d'uh signal enyoy^ par le client via les touches 

15 de son t6l6phone mobile personnel 5 et des moyens de d^cryptage 32 
adapt6s ci decrypter le mot de passe client MPC selon une cle de 
cryptage qui est transmise par le client via les touches de son 
telephone mobile. La base de donn^es d'authentification BDA ne 
comporte ici que deux champs contenant Tun le code ID et Tautre le 

20 mot de passe client MPC^ Le protocole d'authentification apr&s 
d§cryptage correspond au protocole connu dans Tart ant^rieur. 

Le proc6d6 d'acc&s s6curisi6 utillsant ce syst&me se d^roule de la 
manidre suivante. 

En riponse h une demande d'accfes de la part du client utilisant 

25 le site client 1, le serveur affiche sur Tordinateur individuel 2 une page 
^cran 35 repr6sent6e h la figure 6, ne comprenant par rapport au 
premier mode de realisation que deux champs de saisie 36 et 37 qui 
correspondent au couple classique [code d'identification ID et mot de 
passe client MPC]. Immddiatement aprds la saisie du mot de passe 

30 client MPC, |es moyens 30 cryptent le mot de passe client saisi selon 
une c\6 de cryptage connue seulement du client. Ce mot de pass 
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client crypt6 correspond au mot de passe dit d'authentif ication du 
proc^d^ selon I'invention. 

En se r6f6rant d rorganigramme de la figure 5, les etapes du 
protocole d'authentiflcation se d^roulent de la manifere suivante. 
5 Dans un premier temps, h r^tape 40, le serveur, ayant legu le 

mot de passe client crypto et le code ID, identifie le client d Taide du 
code d'identification ID, puis d I'itape 41, il recherche dans la base de 
donn6es d'authentiflcation BDA, le num6ro de t6l6phone mobile. 
L'^tape 42 suivante conslste d composer te num^ro du t^l^phone 

10 mobile d Taide du modem 10. Si k T^tape suivante 43 la 
communication avec le t^l^phone mobile est obtenue, le serveur 6met 
grace d son circuit de synthase vocale 12 un message (6tape 45) 
signalant qu'il attend de la part du client la c\6 de cryptage via les 
touches du t6l^phone mobile. L'^tape 46 correspond h une ^tape 

15 d'attente de la saisie de cette c\6 pendant une dur^e limitde 
prSd^terminSe, L'^tape suivante 47 consiste d authentifier le mot de 
passe MPAUT regu via le r6seau 4 par le dScryptage de ce mot de 
passe avec la cl^ et Tauthentification du mot de passe client obtenu, 
conform^ment au protocole d'authentiflcation. Si le mot de passe 

20 client MPC est conforme (6tape 48), Tauthentification est confirmee et 
le client peut acceder aux services 9 offert par le serveur. 

L'6chec de rauthentification interviendra done dans les 
circonstances suivantes : 

- noh-obtention de la communication avec le t^l^phone mobile ; et 
25 - mauvaise ou absence d'entr^e du mot de passe client MPC et de la 
cl6 de cryptage. 
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RevgndicatiQns 

1. Systdme d'accds s^curis^ h un serveur informatique, 
comportant: 

5 - un site client (1) comprenant des moyens d'accds (3) ^ un r6seau de 
transmission de donn^es (4) et une unite centrale de controle et de 
traitement de donn^es (2) ; et 

- un site serveur (7) comprenant des moyens d'acc^s audit r6seau de 
transmission de donn^es et une unit6 centrale de commande et de 

10 traitement de donn6es (8) pr6vue notamment pour g6rer un protocole 
d'authentification du client utilisateur du site client, 
caractSris^ en ce que : 

- le site client (1) comprend en outre un t6l6phone mobile (5) ; et 

- le site serveur (7) comprend en outre : 

15 - des moyens de connexion (10) au r6seau de t6l6phonie mobile 
(6) dudit telephone mobile et d'appel d'un num6ro de t6l6phone ; 

- une base de donn6es d'authentification (BDA) comprenant une 
donn^e d'identification (ID/MPC) du client et un num^ro de telephone 
mobile associd ; 

20 - des moyens de synthase vocale ; et 

- des moyens d'authentitication d'un nnot de passe d'authentificatlon 
(MPAU) re9u par le site serveur via le r^seau de transmission de 
donn^es (4). 

25 2. Systfeme selon la revendication 1 caract6ris6 en outre en ce 
que (e site serveur comprend des moyens de g6n<§ration d'un mot de 
passe al^atoire ou pseudd-al^atoire (MPA), les moyens de synthase 
vocale ^tant adaptes d ^mettre un message vocal destin6 au client via 
ie r^seau de t^l^phonie mobile comprenant ledit mot de passe aleatoire 

30 ou pseudo-al^atoire, le mot de passe d'authentificatlon (MPAU) ^tant 
dSrivd dudit mot de passe aleatoire ou pseudo-al^atoire (MPA). 
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3. Syst§me selon la revendication 2, caract^risS en ce que le mot 
de passe d'authentification (MPAU) correspond au mot de passe 
aleatoire ou pseudo-al6atoire (MPA) g6n6r6 par le serveur et 

5 communique via le telephone mobile. 

4. Systdme selon la revendication 2 ou 3/ caract^ris^ en ce que le 
mot de passe d'authentification (MPAU) est constitu^ par le mot de 
passe aI6atoire ou pseudo-al^atoire (MPA) g^n^r^ par le serveur et 

10 communique via le telephone mobile auquel est appliqu^e une cl6 
connue du client et comprise dans la base de donn^e d'authentification 
(BDA) du serveur. 

5. Systdme selon Tune des revendications 2 d 4, caract6ris6 par 
1 5 des moyens de contrdle de la donn^e d' identification. 

6. Systdme selon la reyendication 5, caract^risd en ce que la 
donn^e d'identiflcation est constitute par un couple [code 
d'identification / mot de passe client] (ID,MPC) compris dans la base 

20 de donnte d'authentification du serveur. 

7. Syst^me selon Tune des revendications 2 S 6, caracterise eh ce 
qu'il comporte des moyens de temporisation pour limiter dans le temps 
la possibility de transmission pour le site client du mot de passe 

25 d'authentification (MPAU). 

8. Systdme selori la revendication 6 bu 7, caract^rise eii ce que la 
base de donntes d'authentification (BDA) comprehd pour cheque client 
quatre champs : - . 

30 - un champs comprenant le code d' identification (ID) ; 
* un champs compr nant le mot de passe client (MPC) ; 
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- un champs comprenant le numSro de t^l^phone mobile du client ; t 

- un champs comprenant la c\6. 

9. Systfeme selon la revendication 1 , caract6ris6 en ce que : 

5 - le site client comporte des moyens de cryptage du mot de passe 
client (MPC) selon une cl6 de cryptage, le mot de passe client crypte 
obtenu correspond au mot de passe d'authentification (MPAUT) et il 
est transmis au site serveur via le rSseau de transmission de 
donriSes (4) ; et 

10 - les moyens d'authentification du site serveur comportent en outre : 

- des moyens de reconnaissance d'un signal envoys par le client 
par les touches du t^l^phone mobile et cdrrespondant h ladite cl^ 
de cryptage ; et 

- des moyens de decryptage du mot de passe client crypto h 
15 Taide de la cl^ de cryptage regue via le rdseau de telephonie 

mobile (6). 

10. Syst^me selon la revendication 9, caract6ris6 en ce qu'il 
comporte des moyens de temporisation pour limiter dans le temps la 

20 possibility de transmission pour le client de la c\6 de cryptage via les 
touches du telephone mobile. 

11. Proc6d6 de s^curisation d'accds h un serveur informatique (7), 
mettant en oeuvre un systdme selon Tune des revendications 1 3i 8, 

25 comprenant les Stapes cote site serveur consistent h : 

* demander au site client une donn^e d'identification (ID, MPC) par 
rintermSdiaire du r6seau de transmission de donn^es (4) ; 

- rechercher ladite donn^e (ID,MPC) dans une base de donn^es 
d'authentification (BDA) ; 

30 - rechercher dans la base de donn^e d'authentification (BDA) le num^ro 
de telephone mobile associe du client ; 
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- appeler ledit numdro d t^l^phone mobile ; 

- en cas d'obtention de la communication avec le tSl^phone mobile 
g^n^rer un mot de passe al^atoire ou pseudo-al^atoire (MPA) ; 

- 6mettre un message vocal comprenant ledit mot de passe al6atoire 
5 (MPA) via le r^seau de t^lephonie mobile (6) ; 

- demander au client de foumir un mot de passe d'authentification 
(MPAUT) d^riv^ dudit mot de passe alSatoire ou pseudo-al^atoire 
(MPA) par Tinterm^diaire du r^seau de transmission de donnSes (4) ; et 

- authentifier ledit mot de passe d'authentification (MPAUT). 

10 

12. Proc6d6 selon la revendication 11, caract^ris6 en ce que le mot 
de passe d'authentification (MPAUT) correspond au mot de passe 
al^atoire ou pseudo-al^atoire (MPA) Q6r\6r6 par le serveur et 
communique via |e telephone mobile. 

15 

1 3. ProcSdd selon la revendication 1 1 , caract^ris^ en ce que le mot 
de passe d'authentification (MPAUT) est cohstitu6 par le mot de passe 
ai^atoire ou pseudo-aleatoire (MPA) g6n6r6 par le seryeur et 
communique via le telephone mobile, auquel est appliqude une c\6 

20 connue du client et comprise dans la base de donn^e d'authentification 
du serveur (BDA), r§tape d'authentification comportant une §tape de 
conversion dudit mot de passe d'authentification en mot de passe 
aieatoire ou pseudo-aleatoire (MPA) par application de ladite cie. 

25 14. Precede selon Tune quelconque des revendications 11 d 13, 
caracterise par une etape de contrdle de la donnee d'identification 
(ID,MPC) prealable h Tappel du numero de telephone mobile. 

15. Precede selon la revendication 14, caracterise en ce que la 
30 donnee d'identification demandee au client est un couple [code 
d'identification / mot de passe client] (ID/MPC), 
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16. Proc^d^ selon I'une des revendications pr6c6dentes, caract^ris^ 
en ce que T^tape qui consiste ^ demander au client le mot de passe 
d'authehtification (MPAUT) se d^roule pendant une dur6e 

5 pr6d^termin6e au dela de laquelle I'authentification est refus6e. 

17. Proced6 de s6curisation d'accfts d un serveur informatique (7), 
mettant en oeuvre un systdme selon Tune des revendications 1, 9 ou 
10. comprenant les^tapes c6t6 site serveur consistent S : 

10 - demander au client une donn^e d'identification (ID) par IMnterm^diaire 
du r§seau de transmission de donn^es (4) ; 

- rechercher dans la base de donn^e d'authentification (BDA) le num^ro 
de telephone mobile associS du client ; 

- appeler ledit numdro de telephone mobile ; 

15 - en cas d'obtention de la communication avec le telephone mobile, 
6mettre un message vocal demandant la cl6 de cryptage ; 

- authentification du mot de passe d'authentification (MPAUT) 
comprenant : 

- la reconnaissance de la c\6 de cryptage transmise par le client 
20 via ies touches du tSl^phone mobile ; 

- le d^cryptage du mot de passe d'authentification (MPAUT), 
correspondant au mot de passe client crypt^, h Taide de ladite c\6 de 
cryptage ; et 

- Tauthentification du mot de passe client (MPC) ; 

25 ledit proc6d6 comportant c6t6 site client Ies 6tapes consistant ^ 

crypter le mot de passe cljent (MPC) saisi par le client avant de 
I'envoyer via le r^seau de transmission de donn^es (4). 

18. Proc^d^ selon la revendication 17, caract^ris^ en ce que I'^tape 
30 qui consiste ^ r^ceptionner le signal reprdsentatif de la cl^ de cryptage 
se d^roule pendant une dur^e pr6d6termin6 au delli d laqu lie 
I'authentification est refus^e. 
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